CitrixBleedは消えない サイバー攻撃者に利用される悪質な脆弱性についてまとめた：Cybersecurity Dive

NetScaler ADCとNetScaler Gatewayの脆弱性「CitrixBleed」が全世界で悪用されている。侵害発覚までの経緯と悪用の現状、各政府機関の対応を改めてまとめた。

[David Jones，Cybersecurity Dive]

　米国当局は、企業が安全なリモートアクセスを可能にするために広く使用されているネットワーキングアプライアンスである「Citrix NetScaler Application Delivery Controller」（以下、NetScaler ADC）および「NetScaler Gateway」の重大な脆弱（ぜいじゃく）性の封じ込めに苦戦している。

　全世界で何千もの組織がこの技術を使用している。研究者は金融サービス企業や防衛請負業者、法律事務所、技術プロバイダー、政府機関など、幅広い業界を標的としたこの脆弱性を悪用したサイバー攻撃を確認した。

　見つかっている2つの脆弱性のうち、サイバー攻撃者はCVE-2023-4966を広く悪用している（注1）。これは研究者が「CitrixBleed」と名付けたバッファオーバーフローに関連する致命的な脆弱性だ。これまでに「LockBit 3.0」や「ALPHV／BlackCat」を含む複数の脅威グループによるランサムウェア攻撃やその他の悪意のある活動にCVE-2023-4966は悪用されている。

　このサイバー攻撃の速度と規模は最も経験豊富なサイバーセキュリティの専門家にも困難をもたらした。ここではCitrixBleedについて知っておくべき事項を解説する。

CitrixBleed侵害発覚までの経緯

　Citrixは2023年10月10日（現地時間、以下同）にNetScalerADCとNetScaler Gatewayの脆弱性に関するセキュリティ情報を公開した。これらの脆弱性はCVE-2023-4966とCVE-2023-4967としてリストに掲載されている（注2）（注3）。セキュリティ研究者によると、これらの技術は負荷分散およびアプリケーションの高速化や安全なリモートアクセスを支援するために使われている。

　脅威グループは約2カ月にわたってCVE-2023-4966を広く悪用しており、それはパッチ適用後も変わらない。セキュリティ企業のMandiantや他の脅威研究者は、以前のユーザーセッションが削除されていない場合、サイバー攻撃者が既存のパッチを回避できる可能性があると警告している（注4）。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は（注5）、利害関係者と共に、組織に対してこの脆弱性について警告し、後にCVE-2023-4966を脆弱性リストに追加した（注6）。

　CitrixBleedの悪用は2023年10月10日にパッチが発行されたにもかかわらず、数週間にわたってエスカレートしている。

　Citrixはセッションの乗っ取りを確認し（注7）（注8）、2023年10月23日のブログ投稿で「この脆弱性を悪用した標的型攻撃に関して、信頼できる報告を受けた」とコメントした。同社は、同年10月10日のパッチリリース以前の悪用を認識していないと主張しているが、推奨ビルドをインストールするよう顧客に呼び掛けている。

　Mandiantは2023年10月中旬、ハッカーが認証済みセッションを乗っ取り、多要素認証を回避できた同年8月にさかのぼって、悪用の確認に関する緊急警告を共有した（注9）。セッションデータはパッチリリース前に盗まれており、後になってサイバー攻撃者に使用された。

　Mandiant ConsultingのCTO（最高技術責任者）であるチャールズ・カーマカル氏は「私たちは、NetScalerのデバイスをアップデートした組織でセッションの乗っ取りを観測した」と述べた。

　Mandiantは今後のサイバー攻撃を防ぐために、アクティブなセッションまたは永続的なセッションを全て終了するようユーザーに警告した。

　セキュリティ企業Palo Alto Networksのデータによると、パッチがリリースされる2日前の2023年10月8日には、潜在的に脆弱なバージョンのNetScaler ADCとNetScaler Gatewayを使っているシステムが2万750台あった。パッチリリース後、その数は同年10月15日までに7984件に減少した。

　Mandiantは2023年11月2日のブログ投稿で（注10）、同年10月10日以前に、サイバー攻撃者が未知の手段を使用してNetScalerのセッションを乗っ取るケースを調査していたという。

　カーマカル氏は「2023年10月に侵入を調査しており、利用可能な証拠に基づいた場合に、目的が不明な複数の活動があった。CVE-2023-4966が公開された後、私たちはCitrixが公開した情報を使って、CVE-2023-4966の悪用が最初のアクセス経路であると判断できた」と話した。

　しかしCitrixは「このパッチは社内チームによって開発されたものであり、誰も以前の悪用について当社に通知しなかった」と繰り返し述べている。

CitrixBleedを悪用したサイバー攻撃でBoeingなどで被害が発生

　この脆弱性の進化における重要な展開の一つは、2023年10月25日にAssetnoteが調査結果とともに概念実証を発表したことだ（注11）。オーストラリアに拠点を置く同社は当時、この脆弱性を歴史的な脆弱性「HeartBleed」になぞらえて「CitrixBleed」と命名した。

　Assetnoteの幹部によると、パッチが適用された後も、2週間前の脆弱性が悪用されており、ベンダーのセキュリティ管理の問題点と課題が浮き彫りになったという。

　Assetnoteの共同創業者兼CEOであるマイケル・ジャナラキス氏は「第三者のベンダーのソフトウェアやアプライアンスは、ほとんどの組織にとって盲点であり、『シャドーIT』の真の問題であると私たちは考えている。これらのシステムは企業内に広く導入されているが、組織がこれらのシステムに関して、効果的かつ積極的にセキュリティリスクを可視化する手段はほとんどない」と語った。

　これまでのところCitrixBleedの脆弱性に関連して、幾つかの著名なセキュリティインシデントが発生している。

　Boeingは2023年10月下旬、脅威グループ「LockBit」からランサムウェアに関する脅迫を受け、正式な調査の一環として、法執行機関との協力を開始した。このランサムウェアグループは、Boeingから盗まれたとされる約45GBのデータを流出させた（注12）。

　Boeingはその後、LockBitによる攻撃に起因するTTP（戦術、技術、手順）とIOC（侵害指標）を自主的に当局と共有した（注13）。

　同社だけでなくCitirixBleedは、金融サービス企業2社に影響を与えて銀行業務を混乱させた。中国工商銀行のグループ企業であるICBC Financial Servicesは（注14）、2023年11月上旬にランサムウェア攻撃を公表し、脅威研究者のケビン・バーモント氏はこれをCitrixBleedと関連付けた。

　バーモント氏は、信用組合向けのITソリューションを提供するTrellance Cooperative Holdingsのグループ企業であるOngoing Operationsに対するサイバー攻撃とCitrixBleedの脆弱性を関連付け（注15）、これが60の信用組合に影響を与えたとした（注16）。

　セキュリティ企業Tenableのシニア・スタッフリサーチエンジニアであるサトナム・ナラング氏は「今回の攻撃は、特定の企業を標的とした組織的なスパイ活動ではなく、機会を巧みに活用するランサムウェアグループによるスマッシュ・アンド・グラブ作戦だった」と述べている。

FBIによる対処

　ニューヨーク州金融サービス局は2023年11月14日に（注17）、規制対象である全ての事業体に対し、CitrixBleedを軽減するための早急な対策を講じるよう警告した。同局は、同年11月初めに規制対象の事業体に対する情報開示規則の改正版を制定したばかりであり（注18）、この脆弱性がランサムウェアの展開やデータの盗難、業務の中断につながる可能性があると警告している。

　感謝祭の直前、CISAや米国連邦捜査局（FBI）、米多州間情報共有・分析センター（MS-ISAC）、オーストラリア信号総局（Australian Signals Directorate）は（注19）、Lockbit 3.0によるCitrixBleedの悪用に関する共同速報を発表した（注20）。CISAは、脆弱性に関する緩和ガイダンスを2023年11月7日に公開し、そのランサムウェア警告プログラムを通じて、脆弱なインスタンスを実行している約300の組織に警告した（注21）。

　米国保健福祉省（HHS）は2023年11月下旬に（注22）、CitrixBleedのリスクについて医療機関に警告を発した。

　セキュリティ研究者は「NetScalerのインスタンスにパッチが適用されておらず、ユーザーがアクティブなセッションを削除するなどの追加の緩和策を講じない限り、悪意のある攻撃が続く可能性が高い」と警告している。

　Palo Alto Networksのデータによると、脆弱性のあるシステムの数は811に減少し、パッチ適用前の数字から96％減少した。The Shadowserver Foundationのデータによると、パッチ未適用のシステムは1801台で、2023年10月12日の2万台以上から減少している。

　CISAの関係者は、メーカーがメモリ安全性の高い言語を使用しなかったことが、CitrixBleedの悪用の一因になったという以前表明した懸念を繰り返し述べた。

（注1）CVE-2023-4966 Detail（NIST）
（注2）CVE-2023-4966 Detail（NIST）
（注3）CVE-2023-4967 Detail（NIST）
（注4）Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)（MANDIANT）
（注5）Citrix Releases Security Updates for Multiple Products（CISA）
（注6）Known Exploited Vulnerabilities Catalog（CISA）
（注7）CVE-2023-4966: Critical security update now available for NetScaler ADC and NetScaler Gateway（netscaler）
（注8）CVE-2023-4966: Critical security update now available for NetScaler ADC and NetScaler Gateway（netscaler）
（注9）Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)（MANDIANT）
（注10）Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966)（MANDIANT）
（注11）Citrix Bleed: Leaking Session Tokens with CVE-2023-4966（Assetnote）
（注12）Weeks after Boeing attack, ransomware group leaks allegedly stolen files（Cybersecurity Dive）
（注13）#StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability（CISA）
（注14）Chinese banking giant’s US arm hit by ransomware attack（Cybersecurity Dive）
（注15）Ongoing Operations Cyber Security Incident（ONGOING OPERATIONS）
（注16）Dozens of credit unions confront outages linked to third-party ransomware attack（Cybersecurity Dive）
（注17）Industry Letter（NEW YORK STATE）
（注18）Governor Hochul Announces Updates to New York’s Nation-Leading Cybersecurity Regulations as Part of Sweeping Effort to Protect Businesses and Consumers from Cyber Threats（NEW YORK STATE）
（注19）CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
（注20）CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
（注21）CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
（注22）Citrix Bleed Vulnerability（HHS）

原文へのリンク